Zwei von drei Unternehmen nutzen in Deutschland inzwischen die Cloud, wie der Branchenverband Bitkom festgestellt hat. Mit steigender Tendenz. Die Versicherungsbranche bildet hier keine Ausnahme. Versicherer sollten beim Gang in die Cloud nicht nur an ihre Verantwortung gegenüber den Kunden, sondern auch an Regularien denken.
Selbst wenn er aus dem Schlaf gerissen wird, kann wohl jeder CIO und CTO die offensichtlichen Vorteile von Cloudlösungen nennen. Die Cloud kann Vorteile bei Skalierbarkeit und Kosten bringen und die Flexibilität der IT erweitern. Im Bereich der Versicherungswirtschaft gibt es inzwischen „typische“ Szenarien für einen wirkungsvollen Einsatz der Technologie.
Mittels der Cloud lassen sich beispielsweise rasch Rechencluster bilden, um komplexe mathematische Modelle zu kalkulieren. Mittels des „Grid-Computings“ liegen deutlich schneller Ergebnisse vor.
Digitale Kommunikations- und Kundenkanäle wie zum Beispiel die Möglichkeit, auf Geräten mit Amazons Alexa vertreten zu sein, sind ohne die Cloud nicht denkbar. Flexibilität und Skalierbarkeit der Cloud sind in der agilen Softwareentwicklung ebenso vorteilhaft. Und bei der konkreten Umsetzung und Planung von Projekten erleichtern Plattformen für die Zusammenarbeit den gesamten Prozess. Backup- und Archivierungslösungen in der Cloud bieten unbegrenzten Speicherplatz zu einem Bruchteil der Kosten, die für die Schaffung gleich großer physikalischer Speicher entstünden. Die Analyse großer Datenmengen und die Nutzung von Systemen des maschinellen Lernens (Big Data, KI) finden in weiten Teilen ebenfalls inzwischen auf Plattformen in der Cloud statt.
Schließlich bildet die Cloud die Basis für Schnittstellen (APIs), um gemeinsame Lösungen in Kooperation mit Fintechs und Insurtechs anbieten zu können.
In der Cloud eines Versicherers werden zwangsläufig Kundendaten verarbeitet. Nicht erst seit Inkrafttreten der DSGVO sind somit Aspekte der Compliance zu berücksichtigen.
Zu den Regularien treten strategische Überlegungen, bevor Daten in die Cloud verlagert werden. Die BaFin hat in einer Orientierungshilfe die zentralen Fragestellungen in komprimierter Form zusammengestellt. Darin wird empfohlen, eine Risikoanalyse durchzuführen, um wesentliche Fragestellungen zu untersuchen.
In der Analyse der „Kritikalität“ wird beurteilt, ob die Auslagerung der Daten und Prozesse für das Unternehmen kritisch ist, falls es hier zu Störungen kommt. Die Eignung des Cloudanbieters muss geprüft werden. Wie steht es um dessen Fähigkeiten, die Infrastruktur, seine wirtschaftliche Situation und seinen gesellschaftsrechtlichen Status?
Zu überprüfen sind ebenfalls die Risiken für die Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität der Daten. Hierbei ist zu überprüfen, wie sich die Risiken darstellen, wenn ausländische Jurisdiktion auf die Daten zugreift.
Ein rasch vergessenes Risiko kann sich durch die außerordentliche Beendigung des Vertrags mit dem Anbieter ergeben. Wie sind Datenverluste ausgeschlossen? Wie ist die Übertragung der Daten auf einen neuen Dienstleister sichergestellt?
Bei der Auswahl eines Cloudanbieters können Zertifikate Hinweise auf die Compliance geben. In Frage kommen in Deutschland die beiden Prüfstandards C5 des Bundesamtes für Sicherheit in der Informationstechnik sowie das Trusted Cloud Datenschutzprofil für Cloud-Dienste (TCDP) des Bundesministeriums für Wirtschaft und Energie.
Der Anforderungskatalog C5 (Cloud Computing Compliance Controls Catalogue) des BSI bezieht sich explizit auf die Datensicherheit. Es geht darin nahezu ausschließlich um Maßnahmen zum Schutz der Informationssicherheit und Transparenz. Ein Testat nach C5 bezieht sich somit auf die Sicherheit der Cloud des Anbieters.
Aus der Perspektive des Datenschutzes wurde das Trusted Cloud Datenschutzprofil für Cloud-Dienste (TCDP) des Bundesministeriums für Wirtschaft und Energie (BMWi) entwickelt. Es enthält neben Aspekten des Datenschutzes und der Datensicherheit zusätzlich Kriterien zur Qualität und Transparenz; darüber hinaus geht es auch auf die Vertragsgestaltung ein.
Bei der Auswahl eines Anbieters, der beide Testate vorweisen kann, können Versicherer in Hinblick auf die Compliance somit keine Fehler machen.
Die DSGVO kennt im Zusammenhang mit der Speicherung personenbezogener Daten das Prinzip der gemeinsamen Verantwortlichkeit. Gegenüber dem betroffenen Kunden muss diese transparent gemacht werden. Cloudanbieter selbst sind auf diese Fälle inzwischen vorbereitet und besitzen passende Vorlagen für solche Verträge.
Ganz unabhängig vom Außenverhältnis gegenüber dem Kunden entlastet die Zusammenarbeit mit einem Cloudanbieter einen Versicherer bei der Einhaltung der Rechtssicherheit. Beim Betrieb einer im eigenen Rechenzentrum gehosteten Cloudlösung ist der Versicherer verantwortlich für:
Je nach Service und vertraglicher Ausgestaltung übernimmt der Cloudanbieter zumindest die Verantwortung für die ersten beiden bzw. drei Punkte. Eine durchaus sinnvolle Entlastung für die eigene IT-Abteilung.
Mit der Auswahl eines Anbieters, der Prüfzertifikate vorweisen kann, belegt der Versicherer, dass er seiner gesetzlich vorgeschriebenen Sorgfaltspflicht für die Wahl eines geeigneten Dienstes nachgekommen ist. Der Anbieter kümmert sich somit um die Sicherheit der Cloudlösung. Für den Versicherer bleiben durch die Absicherung der Daten in der Cloud genügend Aufgabenstellungen übrig. Zu denken ist hierbei u.a. an:
Die Vorteile der Cloud für Versicherungen sind unbestritten. In Anbetracht der Vielfalt der am Markt angebotenen Lösungen, den sich während der Migration eventuell ergebenden konkreten Herausforderungen (Datenkonvertierung, Schaffung von Integrität und Schnittstellen) sowie strategischen Fragestellungen bei diesem Thema bleibt es ratsam, sich externen Support zu holen.
Bei allen genannten Fragestellungen bieten wir mit unserer langjährigen Expertise gerne Unterstützung. Nehmen Sie Kontakt mit uns auf.